update

SergoVL

Новичок
PHP:
$name5 = htmlspecialchars($_POST['order_number_HWAC']);
$order_number_HWAC = iconv('UTF-8','CP1251',$name5);

$sql88 = "UPDATE db_opr.dbo.hwac SET NUMBER = '$order_number_HWAC' WHERE ID = 1";

$sql89=iconv('UTF-8','CP1251',$sql88);

$result88 = odbc_exec($conn, $sql89)or die("<p>".odbc_errormsg());

$sql2 = "INSERT INTO db_opr.dbo.hwac([NUMBER])VALUES('$result88')";
Подскажите.

var_dump($order_number_HWAC);

Выводит значение , которое приходит string(12) "lldlldld4444"

При попытке указать данную переменную в запрос UPDATE ничего не записывается, но если указать к примеру SET NUMBER = 'test' WHERE ID = 1 , то тогда запрос проходит.
Почему не проходит запрос с переменной?
 

nllabs

Новичок
А что такое "db_opr.dbo.hwac", позвольте спросить ?
Это, ведь, имя таблицы, так ?
 

nllabs

Новичок
Странное такое имячко у табличечки.
А что за ошибочка появляется ?
 

AnrDaemon

Продвинутый новичок
Обычное для MS SQL имя таблички.
А вот SQL инъекция очень необычная.
 

nllabs

Новичок
Я ему третий раз намекаю, а он никак не поймет :)
Может, если прочитает сообщение об ошибке - тогда поймет.

А чем инъекция необычна ? Вроде простая, обычная инъекция. Понял:) первый раз невнимательно смотрел.
Я ему писал в другой теме об уязвимости. Похоже, что его это не волнует :)
 
Последнее редактирование:

AnrDaemon

Продвинутый новичок
Ну тогда почему это нас должно волновать?
Считаю тему исчерпанной.
 

SergoVL

Новичок
Я ему третий раз намекаю, а он никак не поймет :)
Может, если прочитает сообщение об ошибке - тогда поймет.

А чем инъекция необычна ? Вроде простая, обычная инъекция.
Я ему писал в другой теме об уязвимости. Похоже, что его это не волнует :)
Что именно должен понять, что прочитать сообщение об ошибке?
У меня нет сообщений об ошибке, но может я не понимаю, то прошу ткнуть
 

SergoVL

Новичок
Я ему третий раз намекаю, а он никак не поймет :)
Может, если прочитает сообщение об ошибке - тогда поймет.

А чем инъекция необычна ? Вроде простая, обычная инъекция. Понял:) первый раз невнимательно смотрел.
Я ему писал в другой теме об уязвимости. Похоже, что его это не волнует :)
А понятно, имелось ввиду, что я имя таблицы в одном месте указал hwac а в другом hwc , но это лишь опечатке.
По факту с названиями все норм.
 

nllabs

Новичок
Отображение ошибок включено ?

error_reporting(E_ALL);
ini_set('display_errors', 'On');

Раз никаких ошибок не показывает - значит выключено.
 

nllabs

Новичок
Покажите код полностью.
Логин и пароль можно заменить на абракадабру.
 

SergoVL

Новичок
Покажите код полностью.
Логин и пароль можно заменить на абракадабру.
PHP:
if (isset($_POST['order_number_HWAC'])){
      $ar= $_POST['order_number_HWAC'];

$perezapis0 = isset($_POST['data0']); //ID

require_once('C:/inetpub/auth/conn.php');

$sql88 = "UPDATE db_opr.dbo.hwac SET NUMBER = '$ar' WHERE ID = 1";
$sql89=iconv('UTF-8','CP1251',$sql88);
$result88 = odbc_exec($conn, $sql89)or die("<p>".odbc_errormsg());
}
Теперь работает. Таже песня


мда уж....
Спасибо
 

AnrDaemon

Продвинутый новичок
ini_set('display_errors', 1);
ini_set('display_startup_errors', 1);
ini_set('error_reporting', E_ALL);
Set 'error_reporting' to -1 and 'display_errors' to 1 in your php.ini and be sure to restart your webserver/fastcgi-listeners. This is more reliable than using ini_set() and error_reporting() in the script, which will fail if there are parse errors. See http://php.net/errorfunc.configuration for more.
 
Сверху